2025年4月21日、フランスに本社を置くテクノロジー企業「タレス」は、「悪性ボットに関する報告(2025年版)」を発表。
2024年におけるインターネット全体のトラフィックのうち、51%が自動化されたボットによるものであることを明らかにした。
人間によるトラフィックをボットが初めて上回った形となる。
この変化の主因として、AI(人工知能)および大規模言語モデル(LLM)の普及が指摘されている。
これらの技術の進展により、技術的な知識が乏しい者でも悪性ボットを容易に作成し、大量に拡散できる環境が整いつつある。
報告によると、インターネットトラフィックに占める悪性ボットの割合は37%で、前年の32%から増加し、6年連続での上昇となった。
こうした状況は、企業や組織が保有するデジタル資産の保護において、深刻なセキュリティリスクとなっている。
日本国内における傾向
日本における悪性ボットの割合も前年の18%から23%に上昇した。特に低度なボットが73%を占め、前年の46%から大幅に増加。
生成AIの普及が、攻撃者にとってボット作成の敷居を下げている現状が示されている。
一方で、高度な悪性ボットも5%から13%へと増加しており、国内でも攻撃の巧妙化が進んでいる。
業界別の影響
業界別では、旅行業界が最も多くの悪性ボット攻撃を受けており、全トラフィックのうち27%を占め、小売業界が15%と続く。
特に旅行業界では、低度なボット攻撃が急増し、前年の34%から52%に拡大。
一方で高度なボット攻撃は前年の61%から41%に減少しており、簡易的な攻撃手法が増加していることがうかがえる。
APIを狙う新たな脅威
報告では、API(アプリケーション・プログラミング・インターフェース)を標的とした攻撃の増加が顕著であることも指摘された。
高度な悪性ボットの44%がAPIに向けられており、単なるサービス過負荷ではなく、APIが持つビジネスロジックの脆弱性を突く手法が用いられている。
これにより、不正決済やアカウント乗っ取り、データの不正流出などが発生しており、特に金融、医療、電子商取引分野において深刻な影響が出ている。
AIによる攻撃手法の高度化
レポートでは、ChatGPT、ClaudeBot、ByteSpider BotなどのAIツールがサイバー攻撃に利用されていることも報告されており、中でもByteSpider Botによる攻撃は全体の54%を占め、AppleBot(26%)、ClaudeBot(13%)、ChatGPT User Bot(6%)などが続く。
タレスのアプリケーションセキュリティ部門ジェネラルマネージャーであるTim Chang氏は、「自動化されたトラフィックがウェブ活動の過半数を超える中、企業は悪性ボットへの備えを強化する必要がある」と警鐘を鳴らした。
同氏はさらに、攻撃者がAIの活用に習熟する中で、ボットによる攻撃はますます多様化・高度化していると指摘。
回避技術の普及により、防御側の検知や対策が困難になっている現状に対し、柔軟かつ先進的な対応策の必要性を訴えている。
悪性ボットの増加がもたらすリスクに対し、組織が備えるべき新たな脅威の全貌を明らかにしている。
デジタル環境の健全性を維持するためには、今後さらに高度化するボット攻撃に対し、持続的な警戒と対応が求められる。
【参考記事】
https://cpl.thalesgroup.com/ja
